[AsteriskBrasil] Dúvidas sobre encriptação

Alexandre Cavalcante Alencar alexandre.alencar em gmail.com
Quinta Outubro 24 09:16:02 BRT 2013


Daniel,

Base64 não é função de criptografia, mas sim de codificação (para facilitar
a comunicação entre sistemas heterogênios)

MD-5, SHA-1 não são funções de encriptação criptográfica, são funções de
hash criptográfico (há uma enorme diferença).

De forma geral, você pode gerar uma string fixa para uso na propriedade
md5secret do sip.conf (ou preferivelmente users.conf) usando o comando:

echo -n "<usuario sip>:<realm sip>:<senha>" | md5sum

O -n configura echo para não adicionar uma nova linha ao final da string
(\n), <usuário sip> é o login a ser usado, <realm sip> é o valor definido
na propriedade realm na seção [general] do sip.conf (e não necessariamente
asterisk), e por último <senha> é a senha que se deseja utilizar. O pipe
(|) md5sum irá fazer um hash desta string usando a função de hash
criptográfico MD-5.

Isto irá previnir que as senhas fiquem armazenadas em texto plano (óbvio
que se a senha for igual ao usuário, mesmo sua hash não ajudará muito) no
arquivo de configuração (nenhum usuário além de asterisk e root deve ter
acesso a /etc/asterisk de qualquer forma).

Se durante o diálogo SIP o UAC (cliente SIP) e UAS (servidor SIP) conversam
em texto plano, a senha será visível. É necessário estabelecer um canal
seguro para a autenticação (e demais fases, se o objetivo é segurança).

http://svn.digium.com/svn/asterisk/branches/11/README-SERIOUSLY.bestpractices.txt
http://www.voip-info.org/wiki/view/Asterisk+security
http://blogs.digium.com/2009/03/28/sip-security/
http://ofps.oreilly.com/titles/9781449332426/asterisk-Security.html
http://www.voip-info.org/wiki/index.php?page=Asterisk+sip+permit-deny-mask

Para os preguiçosos (o ideal é compreender a arquitetura de segurança e
protocolos, mas se está apressado, vai um guia completo)
http://www.nethemba.com/asterisk-security-hardening-1.0.pdf


Alexandre Alencar
Twitter @alexandreitpro
http://blog.alexandrealencar.net/
http://www.alexandrealencar.net/
http://www.alexandrealencar.com
http://www.servicosdeti.com.br/
COBIT, ITIL, CSM, LPI, MCP-I



2013/10/24 Daniel Feliciano <danielfelicianoseg em hotmail.com>

> Bom dia pessoal,
> estou trabalhando com as senhas dos ramais sip com encriptação base64,
> codificadas através desse site http://www.base64decode.org, então como
> exemplo coloquei "senhaasterisk" e ele me retornou esse valor encriptado
> "c2VuaGFhc3Rlcmlzaw==". Então me gerou 3 duvidas:
>
> 1 - É só copiar esse valor para o campo "secret" da configuração do ramal
> sip que esta td bem? Não preciso instalar nada a mais?
>
> 2 - Como vcs podem ter visto nesse site que indiquei em cima, ele tanto
> codifica como decodifica em Base64, então aonde estaria minha segurança?
> Pois uma vez o invasor tendo acesso a senha encriptada, bastaria ele "COPIA
> E COLAR" nesse site e descobrir a senha.
>
> 3 - O Base64 não seria o mais indicado, e sim o md5 ou SHA1?
>
> Obrigado desde já por todas as contribuições
>
> Daniel
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20131024/4ca55764/attachment.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil